Privacy Policy
Politica de Confidențialitate
Last updated: March 26, 2026Ultima actualizare: 26 martie 2026
translate The Romanian version of this Privacy Policy is the legally authoritative version. This English translation is provided for convenience only. In case of any discrepancy, the Romanian version shall prevail.
translate Versiunea în limba română a acestei Politici de Confidențialitate este versiunea cu valoare juridică. Traducerea în limba engleză este oferită exclusiv pentru comoditate. În cazul oricărei discrepanțe, versiunea în limba română va prevala.
1. Data Controller Identity & Contact Details
This Privacy Policy explains how your personal data is collected, used, stored, and protected when you use the Route Formula platform (the "Service"), accessible at https://routeformula.com.
The data controller responsible for processing your personal data is:
BALANCER DAEMON S.R.L.
CUI: 44301390
Nr. Reg. Comerț: J2021000307076
Registered address: Str. Albert Einstein, Nr. 23, Ap. 2, Mun. Cluj-Napoca, Jud. Cluj, România
Email: [email protected]
Phone: +40752911022
Within the meaning of Regulation (EU) 2016/679 (the "General Data Protection Regulation" or "GDPR") and Legea nr. 190/2018 implementing the GDPR in Romania, BALANCER DAEMON S.R.L. acts as the data controller for the personal data processed through the Service.
This Privacy Policy should be read together with our Terms & Conditions and our Cookie Policy.
1. Identitatea și Datele de Contact ale Operatorului
Prezenta Politică de Confidențialitate explică modul în care datele dumneavoastră cu caracter personal sunt colectate, utilizate, stocate și protejate atunci când utilizați platforma Route Formula ("Serviciul"), accesibilă la https://routeformula.com.
Operatorul de date cu caracter personal responsabil de prelucrarea datelor dumneavoastră este:
BALANCER DAEMON S.R.L.
CUI: 44301390
Nr. Reg. Comerț: J2021000307076
Sediul social: Str. Albert Einstein, Nr. 23, Ap. 2, Mun. Cluj-Napoca, Jud. Cluj, România
Email: [email protected]
Telefon: +40752911022
În sensul Regulamentului (UE) 2016/679 ("Regulamentul General privind Protecția Datelor" sau "RGPD") și al Legii nr. 190/2018 privind măsuri de punere în aplicare a RGPD, BALANCER DAEMON S.R.L. acționează în calitate de operator de date cu caracter personal pentru datele prelucrate prin intermediul Serviciului.
Prezenta Politică de Confidențialitate trebuie citită împreună cu Termenii și Condițiile și Politica privind Cookie-urile.
2. Data Protection Officer
We have appointed a Data Protection Officer ("DPO") whom you may contact with any questions or concerns regarding the processing of your personal data or the exercise of your rights:
Cosmin Nechifor
Email: [email protected]
The DPO is designated in accordance with Articles 37–39 of the GDPR and can be contacted directly for any data protection inquiries.
2. Responsabilul cu Protecția Datelor
Am desemnat un Responsabil cu Protecția Datelor ("RPD") pe care îl puteți contacta cu orice întrebare sau nelămurire privind prelucrarea datelor dumneavoastră cu caracter personal sau exercitarea drepturilor dumneavoastră:
Cosmin Nechifor
Email: [email protected]
RPD este desemnat în conformitate cu articolele 37–39 din RGPD și poate fi contactat direct pentru orice solicitare privind protecția datelor.
3. Categories of Personal Data Collected
We collect and process the following categories of personal data:
a) Account Data
- Full name
- Email address
- Password (stored as a bcrypt cryptographic hash — the plaintext password is never stored)
- Account creation and modification timestamps
b) Billing & Subscription Data
- Subscription plan and status (free, starter, growth, business, enterprise)
- Credit balance and reset dates
- Stripe Customer ID and Subscription ID (identifiers linking your account to our payment processor)
- Payment failure status
Note: We do not store your credit card number, CVV, or full payment details. All payment information is processed and stored exclusively by Stripe, our PCI DSS-compliant payment processor.
c) Vehicle & Driver Data
- Vehicle name and capacity
- Driver name
- Maximum tasks and travel time per trip
d) Delivery Stop Data
- Client names (from uploaded CSV/XLSX files)
- Delivery addresses (city, county)
- GPS coordinates (latitude, longitude) obtained through geocoding
- Package weights and quantities
e) Route Optimization History
- Optimized route results (delivery order, assigned vehicles, waypoints)
- Total distances and durations
- Unassigned stops
- Optimization timestamps
f) File Upload Data
- CSV and XLSX files uploaded for delivery stop import
- Files are stored temporarily (maximum 10 minutes) and automatically deleted after the import session completes or expires
g) Authentication & Session Data
- JSON Web Tokens (JWT) containing your user ID, email, and name — stored as an HTTP-only cookie (
ro_auth) and in browser local storage - Token version (for session invalidation on password change)
- Password reset tokens (cryptographically hashed, 1-hour expiry)
h) Technical & Security Data
- IP address (collected for rate limiting and security audit logging)
- User-Agent string (browser type and version)
- Security event logs (login attempts, registration, password resets — including success/failure status)
i) Geocoding Cache Data
- Address search queries and coordinate pairs
- Geocoding results from OpenRouteService
- Cached for 30 days to reduce redundant API calls, then automatically deleted
3. Categoriile de Date cu Caracter Personal Colectate
Colectăm și prelucrăm următoarele categorii de date cu caracter personal:
a) Date de cont
- Numele complet
- Adresa de email
- Parola (stocată sub formă de hash criptografic bcrypt — parola în clar nu este niciodată stocată)
- Data creării și modificării contului
b) Date de facturare și abonament
- Planul de abonament și statusul acestuia (gratuit, starter, growth, business, enterprise)
- Soldul de credite și datele de resetare
- Identificatorul de client Stripe și identificatorul de abonament (identificatori care leagă contul dumneavoastră de procesatorul nostru de plăți)
- Statusul eșecului plății
Notă: Nu stocăm numărul cardului dumneavoastră, CVV-ul sau detaliile complete de plată. Toate informațiile de plată sunt procesate și stocate exclusiv de Stripe, procesatorul nostru de plăți certificat PCI DSS.
c) Date privind vehiculele și șoferii
- Denumirea și capacitatea vehiculului
- Numele șoferului
- Numărul maxim de sarcini și timpul maxim de deplasare per cursă
d) Date privind punctele de livrare
- Numele clienților (din fișierele CSV/XLSX încărcate)
- Adresele de livrare (localitate, județ)
- Coordonate GPS (latitudine, longitudine) obținute prin geocodificare
- Greutatea și cantitatea coletelor
e) Istoricul optimizărilor de rute
- Rezultatele optimizării rutelor (ordinea livrărilor, vehiculele alocate, punctele intermediare)
- Distanțele și duratele totale
- Punctele de livrare nealocate
- Data și ora optimizărilor
f) Date din fișierele încărcate
- Fișiere CSV și XLSX încărcate pentru importul punctelor de livrare
- Fișierele sunt stocate temporar (maximum 10 minute) și sunt șterse automat după finalizarea sau expirarea sesiunii de import
g) Date de autentificare și sesiune
- Token-uri JSON Web (JWT) care conțin identificatorul dumneavoastră de utilizator, email-ul și numele — stocate ca un cookie HTTP-only (
ro_auth) și în stocarea locală a browserului - Versiunea token-ului (pentru invalidarea sesiunii la schimbarea parolei)
- Token-uri de resetare a parolei (hash-uite criptografic, cu expirare la 1 oră)
h) Date tehnice și de securitate
- Adresa IP (colectată pentru limitarea ratei de acces și jurnalizarea evenimentelor de securitate)
- Șirul User-Agent (tipul și versiunea browserului)
- Jurnalele evenimentelor de securitate (tentative de autentificare, înregistrare, resetarea parolei — inclusiv statusul de succes/eșec)
i) Date din memoria cache de geocodificare
- Interogări de căutare a adreselor și perechi de coordonate
- Rezultatele geocodificării de la OpenRouteService
- Stocate în cache timp de 30 de zile pentru reducerea apelurilor API redundante, apoi șterse automat
4. Purposes of Processing & Legal Basis
We process your personal data only when we have a valid legal basis under Article 6 of the GDPR. The following table summarizes the purposes and corresponding legal bases:
a) Performance of a Contract — Art. 6(1)(b) GDPR
- Account creation and management — we process your name, email, and password to create and maintain your user account
- Route optimization service delivery — we process delivery stops, addresses, GPS coordinates, and vehicle data to provide the core route optimization functionality
- File import processing — we process uploaded CSV/XLSX files to extract delivery stop data necessary for route optimization
- Billing and subscription management — we process billing data through Stripe to manage your subscription, process payments, and maintain your credit balance
- Fleet management — we process vehicle and driver data to enable fleet configuration for route optimization
- Transactional emails — we send welcome emails and password reset emails as part of account management
b) Consent — Art. 6(1)(a) GDPR
- Marketing communications — with your explicit consent collected via opt-in checkbox at registration, we may send you promotional emails about new features, updates, or offers. You may withdraw your consent at any time (see Section 8)
- Non-essential cookies and local storage — language preference cookies and UI state storage are set with your consent (see Section 10)
- Product analytics (PostHog) — pageview tracking, session recording, heatmap data, and autocapture events are processed only after you provide explicit opt-in consent via the cookie consent banner. You may withdraw your consent at any time (see Section 10 and our Cookie Policy)
c) Legitimate Interest — Art. 6(1)(f) GDPR
- Security and fraud prevention — we log IP addresses, User-Agent strings, and security events (login attempts, failed authentications) to protect the Service against unauthorized access, brute-force attacks, and abuse. Our legitimate interest in maintaining the security and integrity of the Service is balanced against the minimal intrusiveness of this processing, which uses data that is routinely transmitted in HTTP requests
- Rate limiting — we process IP addresses to enforce rate limits and prevent abuse of the Service. Rate limit data is automatically deleted after the rate window expires (typically 60 seconds)
- Error tracking and service improvement — we use Sentry to collect error reports (stack traces, request context) to diagnose and fix bugs. User IDs may be attached for debugging context, but sensitive data (passwords, tokens) is filtered out. Our legitimate interest in maintaining a stable service outweighs the limited impact on your privacy
- Geocoding cache — we cache geocoding results for 30 days to improve service performance and reduce third-party API costs. This processing is minimally intrusive as the data is technical in nature
d) Legal Obligation — Art. 6(1)(c) GDPR
- Financial and tax records — we retain billing and transaction records for up to 10 years as required by Romanian fiscal legislation (Legea nr. 82/1991 — Legea contabilității, Codul fiscal)
4. Scopurile Prelucrării și Temeiul Juridic
Prelucrăm datele dumneavoastră cu caracter personal numai atunci când avem un temei juridic valid în baza articolului 6 din RGPD. Tabelul de mai jos rezumă scopurile și temeiurile juridice corespunzătoare:
a) Executarea unui contract — Art. 6 alin. (1) lit. (b) RGPD
- Crearea și gestionarea contului — prelucrăm numele, adresa de email și parola dumneavoastră pentru a crea și menține contul de utilizator
- Furnizarea serviciului de optimizare a rutelor — prelucrăm punctele de livrare, adresele, coordonatele GPS și datele vehiculelor pentru a oferi funcționalitatea de bază de optimizare a rutelor
- Procesarea importului de fișiere — prelucrăm fișierele CSV/XLSX încărcate pentru a extrage datele punctelor de livrare necesare optimizării rutelor
- Facturarea și gestionarea abonamentelor — prelucrăm datele de facturare prin Stripe pentru a gestiona abonamentul dumneavoastră, a procesa plățile și a menține soldul de credite
- Gestionarea flotei — prelucrăm datele vehiculelor și ale șoferilor pentru a permite configurarea flotei în vederea optimizării rutelor
- Emailuri tranzacționale — trimitem emailuri de bun venit și de resetare a parolei ca parte a gestionării contului
b) Consimțământ — Art. 6 alin. (1) lit. (a) RGPD
- Comunicări de marketing — cu consimțământul dumneavoastră explicit, colectat prin caseta de bifat la înregistrare, vă putem trimite emailuri promoționale despre funcționalități noi, actualizări sau oferte. Puteți retrage consimțământul în orice moment (a se vedea Secțiunea 8)
- Cookie-uri neesențiale și stocare locală — cookie-urile pentru preferința de limbă și stocarea stării interfeței sunt setate cu consimțământul dumneavoastră (a se vedea Secțiunea 10)
- Analitică de produs (PostHog) — urmărirea vizualizărilor de pagină, înregistrarea sesiunilor, datele pentru hărți termice și evenimentele de captare automată sunt prelucrate numai după ce oferiți consimțământul explicit prin bannerul de consimțământ cookie. Puteți retrage consimțământul în orice moment (a se vedea Secțiunea 10 și Politica privind Cookie-urile)
c) Interes legitim — Art. 6 alin. (1) lit. (f) RGPD
- Securitate și prevenirea fraudei — înregistrăm adresele IP, șirurile User-Agent și evenimentele de securitate (tentative de autentificare, autentificări eșuate) pentru a proteja Serviciul împotriva accesului neautorizat, atacurilor de tip brute-force și abuzurilor. Interesul nostru legitim de a menține securitatea și integritatea Serviciului este echilibrat cu impactul minim al acestei prelucrări, care utilizează date transmise în mod obișnuit în cererile HTTP
- Limitarea ratei de acces — prelucrăm adresele IP pentru a impune limite de rată și a preveni abuzul Serviciului. Datele de limitare a ratei sunt șterse automat după expirarea ferestrei de timp (de obicei 60 de secunde)
- Urmărirea erorilor și îmbunătățirea serviciului — utilizăm Sentry pentru a colecta rapoarte de erori (urmăriri de stivă, contextul solicitărilor) în vederea diagnosticării și remedierii defecțiunilor. Identificatorii de utilizator pot fi atașați pentru contextul de depanare, dar datele sensibile (parole, token-uri) sunt filtrate. Interesul nostru legitim de a menține un serviciu stabil prevalează asupra impactului limitat asupra confidențialității dumneavoastră
- Cache-ul de geocodificare — stocăm în cache rezultatele geocodificării timp de 30 de zile pentru a îmbunătăți performanța serviciului și a reduce costurile API-urilor terțe. Această prelucrare are un impact minim, datele fiind de natură tehnică
d) Obligație legală — Art. 6 alin. (1) lit. (c) RGPD
- Evidențe financiare și fiscale — păstrăm evidențele de facturare și tranzacții până la 10 ani, conform legislației fiscale românești (Legea nr. 82/1991 — Legea contabilității, Codul fiscal)
5. Recipients & Third-Party Processors
We share your personal data with the following third-party service providers who act as data processors on our behalf, or as independent controllers where indicated. Each processor is bound by a Data Processing Agreement (DPA) in accordance with Article 28 of the GDPR.
a) Stripe, Inc. — Payment Processing
- Data shared: Email address, user ID (in metadata), subscription plan information
- Purpose: Processing subscription payments, managing billing portal, handling invoices
- Role: Independent data controller for payment card data; data processor for billing metadata
- Privacy Policy: stripe.com/privacy
b) OpenRouteService (Heidelberg Institute for Geoinformation Technology) — Geocoding
- Data shared: Address text queries, GPS coordinate pairs
- Purpose: Converting addresses to GPS coordinates (forward geocoding) and coordinates to addresses (reverse geocoding)
- Role: Data processor
- Privacy Policy: openrouteservice.org/privacy
c) Sentry (Functional Software, Inc.) — Error Tracking
- Data shared: Error messages, stack traces, request URLs and methods, user ID (for context). Sensitive data (passwords, tokens, secrets) is automatically filtered out
- Purpose: Monitoring application errors, diagnosing bugs, maintaining service stability
- Role: Data processor
- Privacy Policy: sentry.io/privacy
d) Resend (Resend, Inc.) — Email Delivery
- Data shared: Email address, user name, email content (welcome messages, password reset links)
- Purpose: Sending transactional and marketing emails on our behalf
- Role: Data processor
- Privacy Policy: resend.com/legal/privacy-policy
e) Google Fonts (Google LLC) — Font Delivery
- Data shared: IP address, browser information (transmitted automatically when loading fonts)
- Purpose: Serving the Inter typeface and Material Symbols icons
- Role: Independent data controller
- Privacy Policy: policies.google.com/privacy
f) OpenStreetMap Foundation — Map Tiles
- Data shared: IP address, map viewport coordinates (transmitted when loading map tiles)
- Purpose: Displaying interactive maps with route visualizations
- Role: Independent data controller
- Privacy Policy: osmfoundation.org/wiki/Privacy_Policy
g) CDN Providers (unpkg, Tailwind CDN, cdnjs) — Static Assets
- Data shared: IP address, browser information (transmitted automatically when loading scripts and stylesheets)
- Purpose: Delivering JavaScript libraries and CSS frameworks
h) PostHog, Inc. — Product Analytics (Consent-Gated)
- Data shared: Pageview events, click interactions (autocapture on landing page), session recordings (on landing page and application pages), heatmap interaction data, device and browser information, anonymous device identifier
- Purpose: Understanding how the Service is used to improve the product experience, identifying usability issues, and measuring feature adoption
- Role: Data processor
- Consent required: PostHog is only activated after you provide explicit opt-in consent for the "Analytics" category via the cookie consent banner. No data is collected or shared until consent is granted
- Privacy Policy: posthog.com/privacy
We do not sell your personal data to any third party. We use PostHog for consent-gated product analytics (see Section 4b and our Cookie Policy for details). We do not use Google Analytics, Mixpanel, Hotjar, or any advertising or retargeting service.
5. Destinatari și Persoane Împuternicite
Partajăm datele dumneavoastră cu caracter personal cu următorii furnizori de servicii terți care acționează ca persoane împuternicite în numele nostru, sau ca operatori independenți unde este indicat. Fiecare persoană împuternicită este obligată printr-un Acord de Prelucrare a Datelor (DPA) în conformitate cu articolul 28 din RGPD.
a) Stripe, Inc. — Procesarea plăților
- Date partajate: Adresa de email, identificatorul utilizatorului (în metadate), informații despre planul de abonament
- Scop: Procesarea plăților pentru abonamente, gestionarea portalului de facturare, gestionarea facturilor
- Rol: Operator independent de date pentru datele cardului de plată; persoană împuternicită pentru metadatele de facturare
- Politica de Confidențialitate: stripe.com/privacy
b) OpenRouteService (Heidelberg Institute for Geoinformation Technology) — Geocodificare
- Date partajate: Interogări text cu adrese, perechi de coordonate GPS
- Scop: Conversia adreselor în coordonate GPS (geocodificare directă) și a coordonatelor în adrese (geocodificare inversă)
- Rol: Persoană împuternicită
- Politica de Confidențialitate: openrouteservice.org/privacy
c) Sentry (Functional Software, Inc.) — Urmărirea erorilor
- Date partajate: Mesaje de eroare, urmăriri de stivă, URL-uri și metode de solicitare, identificatorul utilizatorului (pentru context). Datele sensibile (parole, token-uri, chei secrete) sunt filtrate automat
- Scop: Monitorizarea erorilor aplicației, diagnosticarea defecțiunilor, menținerea stabilității serviciului
- Rol: Persoană împuternicită
- Politica de Confidențialitate: sentry.io/privacy
d) Resend (Resend, Inc.) — Livrarea emailurilor
- Date partajate: Adresa de email, numele utilizatorului, conținutul emailului (mesaje de bun venit, linkuri de resetare a parolei)
- Scop: Trimiterea emailurilor tranzacționale și de marketing în numele nostru
- Rol: Persoană împuternicită
- Politica de Confidențialitate: resend.com/legal/privacy-policy
e) Google Fonts (Google LLC) — Livrarea fonturilor
- Date partajate: Adresa IP, informații despre browser (transmise automat la încărcarea fonturilor)
- Scop: Furnizarea fontului Inter și a pictogramelor Material Symbols
- Rol: Operator independent de date
- Politica de Confidențialitate: policies.google.com/privacy
f) Fundația OpenStreetMap — Plăci de hartă
- Date partajate: Adresa IP, coordonatele vizualizării hărții (transmise la încărcarea plăcilor de hartă)
- Scop: Afișarea hărților interactive cu vizualizarea rutelor
- Rol: Operator independent de date
- Politica de Confidențialitate: osmfoundation.org/wiki/Privacy_Policy
g) Furnizori CDN (unpkg, Tailwind CDN, cdnjs) — Resurse statice
- Date partajate: Adresa IP, informații despre browser (transmise automat la încărcarea scripturilor și foilor de stil)
- Scop: Livrarea bibliotecilor JavaScript și a cadrelor CSS
h) PostHog, Inc. — Analitică de produs (condiționată de consimțământ)
- Date partajate: Evenimente de vizualizare a paginilor, interacțiuni de clic (captare automată pe pagina de prezentare), înregistrări de sesiune (pe pagina de prezentare și paginile aplicației), date de interacțiune pentru hărți termice, informații despre dispozitiv și browser, identificator anonim de dispozitiv
- Scop: Înțelegerea modului în care este utilizat Serviciul pentru îmbunătățirea experienței de produs, identificarea problemelor de utilizabilitate și măsurarea adoptării funcționalităților
- Rol: Persoană împuternicită
- Consimțământ necesar: PostHog este activat numai după ce oferiți consimțământul explicit pentru categoria „Analiză" prin bannerul de consimțământ cookie. Nu se colectează și nu se partajează date până la acordarea consimțământului
- Politica de Confidențialitate: posthog.com/privacy
Nu vindem datele dumneavoastră cu caracter personal niciunui terț. Utilizăm PostHog pentru analitică de produs condiționată de consimțământ (a se vedea Secțiunea 4b și Politica privind Cookie-urile pentru detalii). Nu utilizăm Google Analytics, Mixpanel, Hotjar sau orice alt serviciu de publicitate sau retargetare.
6. International Data Transfers
Our primary data infrastructure (application servers and MongoDB database) is hosted within the European Union / European Economic Area (EU/EEA). Your personal data is stored and processed primarily within the EU/EEA.
However, some of our third-party service providers are established in the United States or may process data outside the EEA. Where such transfers occur, they are protected by appropriate safeguards in accordance with Chapter V of the GDPR (Articles 44–49):
- Stripe, Inc. (USA) — transfers are covered by the EU-U.S. Data Privacy Framework (adequacy decision of the European Commission dated 10 July 2023) and Standard Contractual Clauses (SCCs)
- Sentry / Functional Software, Inc. (USA) — transfers are covered by Standard Contractual Clauses (SCCs) pursuant to Commission Implementing Decision (EU) 2021/914
- Resend, Inc. (USA) — transfers are covered by Standard Contractual Clauses (SCCs)
- Google LLC (USA) — transfers are covered by the EU-U.S. Data Privacy Framework and Standard Contractual Clauses (SCCs)
- PostHog, Inc. (USA) — transfers are covered by Standard Contractual Clauses (SCCs). PostHog data is only transferred when you have granted analytics consent
You may request a copy of the relevant Standard Contractual Clauses by contacting us at [email protected] or the DPO at [email protected].
6. Transferuri Internaționale de Date
Infrastructura noastră principală de date (serverele aplicației și baza de date MongoDB) este găzduită în Uniunea Europeană / Spațiul Economic European (UE/SEE). Datele dumneavoastră cu caracter personal sunt stocate și prelucrate în principal în UE/SEE.
Cu toate acestea, unii dintre furnizorii noștri de servicii terți sunt stabiliți în Statele Unite ale Americii sau pot prelucra date în afara SEE. Acolo unde au loc astfel de transferuri, acestea sunt protejate prin garanții adecvate în conformitate cu Capitolul V din RGPD (Articolele 44–49):
- Stripe, Inc. (SUA) — transferurile sunt acoperite de Cadrul UE-SUA privind Confidențialitatea Datelor (decizia de adecvare a Comisiei Europene din 10 iulie 2023) și de Clauzele Contractuale Standard (CCS)
- Sentry / Functional Software, Inc. (SUA) — transferurile sunt acoperite de Clauzele Contractuale Standard (CCS) în temeiul Deciziei de punere în aplicare (UE) 2021/914 a Comisiei
- Resend, Inc. (SUA) — transferurile sunt acoperite de Clauzele Contractuale Standard (CCS)
- Google LLC (SUA) — transferurile sunt acoperite de Cadrul UE-SUA privind Confidențialitatea Datelor și de Clauzele Contractuale Standard (CCS)
- PostHog, Inc. (SUA) — transferurile sunt acoperite de Clauzele Contractuale Standard (CCS). Datele PostHog sunt transferate numai când ați acordat consimțământul pentru analiză
Puteți solicita o copie a Clauzelor Contractuale Standard relevante contactându-ne la [email protected] sau pe RPD la [email protected].
7. Data Retention Periods
We retain your personal data only for as long as necessary for the purposes for which it was collected, or as required by law. The specific retention periods are:
| Data Category | Retention Period |
|---|---|
| Account data (name, email, password hash) | Until account deletion is requested |
| Route optimization history | 2 years from creation, or until deleted by user |
| Vehicle & driver data | Until deleted by user or account deletion |
| File uploads (CSV/XLSX) | 10 minutes (automatically deleted) |
| Geocoding cache | 30 days (automatically deleted via TTL) |
| Rate limit records | 60 seconds (automatically deleted via TTL) |
| Security & audit logs | 1 year |
| Billing & financial records | 10 years (Romanian fiscal law — Legea nr. 82/1991) |
| JWT authentication tokens | 7 days (expiration built into token) |
| Password reset tokens | 1 hour (automatically invalidated) |
| Sentry error reports | 90 days (Sentry default retention) |
Upon account deletion, we will delete or anonymize all personal data associated with your account, except where retention is required by law (e.g., financial records). Data held by third-party processors is subject to their respective retention policies.
7. Perioadele de Păstrare a Datelor
Păstrăm datele dumneavoastră cu caracter personal doar atât timp cât este necesar pentru scopurile pentru care au fost colectate sau conform cerințelor legale. Perioadele specifice de păstrare sunt:
| Categoria de date | Perioada de păstrare |
|---|---|
| Date de cont (nume, email, hash parolă) | Până la solicitarea ștergerii contului |
| Istoricul optimizărilor de rute | 2 ani de la creare, sau până la ștergerea de către utilizator |
| Date despre vehicule și șoferi | Până la ștergerea de către utilizator sau ștergerea contului |
| Fișiere încărcate (CSV/XLSX) | 10 minute (șterse automat) |
| Cache de geocodificare | 30 de zile (șters automat prin TTL) |
| Înregistrări de limitare a ratei | 60 de secunde (șterse automat prin TTL) |
| Jurnale de securitate și audit | 1 an |
| Evidențe de facturare și financiare | 10 ani (legislația fiscală românească — Legea nr. 82/1991) |
| Token-uri de autentificare JWT | 7 zile (expirare încorporată în token) |
| Token-uri de resetare a parolei | 1 oră (invalidate automat) |
| Rapoarte de erori Sentry | 90 de zile (politica implicită Sentry) |
La ștergerea contului, vom șterge sau anonimiza toate datele cu caracter personal asociate contului dumneavoastră, cu excepția cazurilor în care păstrarea este impusă de lege (de exemplu, evidențele financiare). Datele deținute de persoanele împuternicite terțe sunt supuse politicilor lor respective de păstrare.
8. Your Rights as a Data Subject
Under the GDPR, you have the following rights regarding your personal data. You may exercise any of these rights free of charge by contacting us at [email protected] or the DPO at [email protected]. We will respond to your request within one month of receipt, in accordance with Article 12(3) of the GDPR.
a) Right of Access (Art. 15 GDPR)
You have the right to obtain confirmation as to whether your personal data is being processed and, if so, to access that data along with information about the purposes, categories, recipients, and retention periods. You can view your account data, vehicles, and optimization history directly within the Service.
b) Right to Rectification (Art. 16 GDPR)
You have the right to have inaccurate personal data corrected and incomplete data completed. You can update your name directly in your profile settings. For other corrections, contact us.
c) Right to Erasure / "Right to Be Forgotten" (Art. 17 GDPR)
You have the right to request the deletion of your personal data when it is no longer necessary for the purposes for which it was collected, when you withdraw consent, or when the data has been unlawfully processed. This right does not apply where processing is necessary for compliance with a legal obligation (e.g., financial records retained under Romanian fiscal law).
d) Right to Restriction of Processing (Art. 18 GDPR)
You have the right to request restriction of processing when you contest the accuracy of your data, when processing is unlawful but you oppose erasure, when we no longer need the data but you require it for legal claims, or when you have objected to processing pending verification.
e) Right to Data Portability (Art. 20 GDPR)
You have the right to receive your personal data in a structured, commonly used, and machine-readable format (e.g., JSON or CSV), and to transmit that data to another controller without hindrance. This right applies to data processed on the basis of consent or contract performance and by automated means.
f) Right to Object (Art. 21 GDPR)
You have the right to object to processing based on legitimate interests (Art. 6(1)(f)). Upon objection, we will cease processing unless we demonstrate compelling legitimate grounds that override your interests, rights, and freedoms. You have an absolute right to object to processing for direct marketing purposes at any time.
g) Right Related to Automated Decision-Making (Art. 22 GDPR)
You have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning you or similarly significantly affects you. See Section 9 for details on our automated decision-making.
h) Right to Withdraw Consent
Where processing is based on your consent, you have the right to withdraw that consent at any time. Withdrawal of consent does not affect the lawfulness of processing carried out before the withdrawal. To withdraw consent for marketing emails, use the "unsubscribe" link in any marketing email or contact us directly.
i) Right to Lodge a Complaint
If you believe that we have infringed your rights under the GDPR, you have the right to lodge a complaint with the Romanian supervisory authority:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, 010336, Romania
Website: www.dataprotection.ro
8. Drepturile Dumneavoastră ca Persoană Vizată
În baza RGPD, aveți următoarele drepturi privind datele dumneavoastră cu caracter personal. Puteți exercita oricare dintre aceste drepturi în mod gratuit contactându-ne la [email protected] sau pe RPD la [email protected]. Vom răspunde solicitării dumneavoastră în termen de o lună de la primire, în conformitate cu articolul 12 alineatul (3) din RGPD.
a) Dreptul de acces (Art. 15 RGPD)
Aveți dreptul de a obține confirmarea faptului că datele dumneavoastră cu caracter personal sunt prelucrate și, în caz afirmativ, de a accesa aceste date împreună cu informații despre scopurile, categoriile, destinatarii și perioadele de păstrare. Puteți vizualiza datele contului, vehiculele și istoricul optimizărilor direct în cadrul Serviciului.
b) Dreptul la rectificare (Art. 16 RGPD)
Aveți dreptul de a obține rectificarea datelor cu caracter personal inexacte și completarea datelor incomplete. Puteți actualiza numele dumneavoastră direct din setările profilului. Pentru alte corecturi, contactați-ne.
c) Dreptul la ștergerea datelor / „dreptul de a fi uitat" (Art. 17 RGPD)
Aveți dreptul de a solicita ștergerea datelor dumneavoastră cu caracter personal atunci când acestea nu mai sunt necesare pentru scopurile pentru care au fost colectate, când vă retrageți consimțământul sau când datele au fost prelucrate ilegal. Acest drept nu se aplică atunci când prelucrarea este necesară pentru respectarea unei obligații legale (de exemplu, evidențele financiare păstrate în baza legislației fiscale românești).
d) Dreptul la restricționarea prelucrării (Art. 18 RGPD)
Aveți dreptul de a solicita restricționarea prelucrării atunci când contestați exactitatea datelor, când prelucrarea este ilegală dar vă opuneți ștergerii, când nu mai avem nevoie de date dar dumneavoastră le solicitați pentru constatarea, exercitarea sau apărarea unui drept în instanță, sau când v-ați opus prelucrării în așteptarea verificării.
e) Dreptul la portabilitatea datelor (Art. 20 RGPD)
Aveți dreptul de a primi datele dumneavoastră cu caracter personal într-un format structurat, utilizat în mod curent și care poate fi citit automat (de exemplu, JSON sau CSV), și de a transmite aceste date altui operator fără obstacole. Acest drept se aplică datelor prelucrate pe baza consimțământului sau a executării unui contract și prin mijloace automatizate.
f) Dreptul la opoziție (Art. 21 RGPD)
Aveți dreptul de a vă opune prelucrării bazate pe interese legitime (Art. 6 alin. (1) lit. (f)). La primirea opoziției, vom înceta prelucrarea, cu excepția cazului în care demonstrăm motive legitime imperioase care prevalează asupra intereselor, drepturilor și libertăților dumneavoastră. Aveți un drept absolut de opoziție față de prelucrarea în scopuri de marketing direct, în orice moment.
g) Dreptul legat de procesul decizional automatizat (Art. 22 RGPD)
Aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automatizată, inclusiv crearea de profiluri, care produce efecte juridice asupra dumneavoastră sau vă afectează în mod similar într-o măsură semnificativă. A se vedea Secțiunea 9 pentru detalii privind procesul nostru decizional automatizat.
h) Dreptul de retragere a consimțământului
Atunci când prelucrarea se bazează pe consimțământul dumneavoastră, aveți dreptul de a retrage acest consimțământ în orice moment. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate înainte de retragere. Pentru a retrage consimțământul pentru emailurile de marketing, utilizați linkul „dezabonare" din orice email de marketing sau contactați-ne direct.
i) Dreptul de a depune o plângere
Dacă considerați că v-am încălcat drepturile prevăzute de RGPD, aveți dreptul de a depune o plângere la autoritatea de supraveghere din România:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, 010336, România
Website: www.dataprotection.ro
9. Automated Decision-Making
The Service uses automated processing in the following way:
Route Optimization Algorithm
When you request a route optimization, the Service uses the VROOM optimization engine to automatically determine the optimal order of delivery stops and vehicle assignments. This process:
- Takes your delivery stops (addresses, coordinates) and vehicle fleet configuration as input
- Applies mathematical algorithms to minimize total travel distance and time
- Automatically assigns stops to vehicles and determines the optimal sequence
- Returns the optimized routes as a suggestion for your review
Nature and significance: The route optimization is a tool that provides suggestions — it does not produce legal effects concerning you and does not make binding decisions. You retain full control over whether to follow the suggested routes, modify them, or discard them entirely. The optimization is performed locally on our infrastructure and does not involve profiling or scoring of individuals.
Human review: All optimization results are presented to you for review before any action is taken. You can manually adjust routes, reassign stops between vehicles, or re-run the optimization with different parameters.
If you have concerns about the automated route optimization, you may contact us or the DPO to discuss alternative arrangements.
9. Procesul Decizional Automatizat
Serviciul utilizează prelucrarea automatizată în următorul mod:
Algoritmul de optimizare a rutelor
Atunci când solicitați o optimizare a rutelor, Serviciul utilizează motorul de optimizare VROOM pentru a determina automat ordinea optimă a punctelor de livrare și alocarea vehiculelor. Acest proces:
- Primește ca date de intrare punctele dumneavoastră de livrare (adrese, coordonate) și configurația flotei de vehicule
- Aplică algoritmi matematici pentru minimizarea distanței și timpului total de deplasare
- Alocă automat punctele de livrare vehiculelor și determină secvența optimă
- Returnează rutele optimizate ca o sugestie pentru analiza dumneavoastră
Natura și semnificația: Optimizarea rutelor este un instrument care oferă sugestii — nu produce efecte juridice asupra dumneavoastră și nu ia decizii obligatorii. Păstrați controlul deplin asupra urmării rutelor sugerate, modificării acestora sau renunțării la ele în totalitate. Optimizarea se realizează local pe infrastructura noastră și nu implică crearea de profiluri sau evaluarea persoanelor.
Intervenția umană: Toate rezultatele optimizării vă sunt prezentate pentru analiză înainte de a fi luată orice măsură. Puteți ajusta manual rutele, reatribui punctele de livrare între vehicule sau relansa optimizarea cu parametri diferiți.
Dacă aveți nelămuriri privind optimizarea automatizată a rutelor, ne puteți contacta sau contacta RPD pentru a discuta aranjamente alternative.
10. Cookies & Local Storage
The Service uses cookies and browser local storage as described below. For a comprehensive description, please see our Cookie Policy.
a) Essential / Strictly Necessary
ro_authcookie — HTTP-only, Secure, SameSite=Lax cookie containing your JWT authentication token. Expires after 7 days. This cookie is strictly necessary for the Service to authenticate you and cannot be disabled. Legal basis: Contract performance (Art. 6(1)(b)) and exemption under Article 5(3) of Directive 2002/58/EC (transposed by Legea nr. 506/2004)
b) Functional
ro_logged_in(localStorage) — Boolean flag indicating login status for UI renderingro_user_name(localStorage) — Cached user name for display in the navigation barro_user_email(localStorage) — Cached user email for display purposesro_privacy_lang(localStorage) — Your language preference for this page (EN/RO)ro_terms_lang(localStorage) — Your language preference for the Terms & Conditions pagesectionStates(localStorage) — Wizard UI section collapse/expand state
c) Analytics (Consent-Gated)
ph_phc_*_posthog(Cookie) — PostHog anonymous device identifier. Only set after you grant analytics consent via the cookie consent banner
The Service does not use any advertising cookies, retargeting cookies, or behavioural profiling cookies. For a comprehensive description of all cookies and storage, see our Cookie Policy.
You can clear local storage data at any time through your browser settings. Clearing the ro_auth cookie will log you out of the Service.
10. Cookie-uri și Stocare Locală
Serviciul utilizează cookie-uri și stocarea locală a browserului conform descrierii de mai jos. Pentru o descriere cuprinzătoare, consultați Politica privind Cookie-urile.
a) Esențiale / Strict necesare
- Cookie-ul
ro_auth— cookie HTTP-only, Secure, SameSite=Lax care conține token-ul dumneavoastră de autentificare JWT. Expiră după 7 zile. Acest cookie este strict necesar pentru autentificarea dumneavoastră în Serviciu și nu poate fi dezactivat. Temei juridic: Executarea contractului (Art. 6 alin. (1) lit. (b)) și excepția prevăzută la articolul 5 alineatul (3) din Directiva 2002/58/CE (transpusă prin Legea nr. 506/2004)
b) Funcționale
ro_logged_in(localStorage) — Indicator boolean al stării de autentificare pentru redarea interfețeiro_user_name(localStorage) — Numele utilizatorului stocat temporar pentru afișare în bara de navigarero_user_email(localStorage) — Adresa de email stocată temporar pentru afișarero_privacy_lang(localStorage) — Preferința dumneavoastră de limbă pentru această pagină (EN/RO)ro_terms_lang(localStorage) — Preferința dumneavoastră de limbă pentru pagina Termeni și CondițiisectionStates(localStorage) — Starea de extindere/restrângere a secțiunilor din wizard
c) Analiză (condiționat de consimțământ)
ph_phc_*_posthog(Cookie) — Identificator anonim de dispozitiv PostHog. Se setează numai după ce acordați consimțământul pentru analiză prin bannerul de consimțământ cookie
Serviciul nu utilizează cookie-uri publicitare, cookie-uri de retargetare sau cookie-uri de profilare comportamentală. Pentru o descriere completă a tuturor cookie-urilor și a stocării, consultați Politica privind Cookie-urile.
Puteți șterge datele din stocarea locală în orice moment din setările browserului. Ștergerea cookie-ului ro_auth vă va deconecta din Serviciu.
11. Security Measures
We implement appropriate technical and organizational measures to protect your personal data in accordance with Article 32 of the GDPR. These measures include, but are not limited to:
Technical Measures:
- Password security — all passwords are hashed using the bcrypt algorithm with a cost factor of 10 before storage. Plaintext passwords are never stored or logged
- Transport encryption — all communications between your browser and our servers are encrypted using HTTPS/TLS. HTTP Strict Transport Security (HSTS) is enforced with a maximum age of 2 years
- Authentication tokens — JWT tokens are stored in HTTP-only cookies (inaccessible to JavaScript) with Secure and SameSite=Lax flags
- Content Security Policy (CSP) — restricts the sources from which scripts, styles, fonts, and other resources can be loaded, mitigating cross-site scripting (XSS) attacks
- Security headers — X-Frame-Options: DENY (prevents clickjacking), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin
- Rate limiting — protects against brute-force attacks on authentication endpoints (5 requests/minute) and general abuse (100 requests/minute)
- CORS policy — restricts cross-origin requests to explicitly allowed domains
- Input validation and sanitization — file names, email content, and user inputs are sanitized to prevent injection attacks
- Sensitive data filtering — passwords, tokens, and secrets are automatically stripped from error reports sent to Sentry
- Token invalidation — on password change, all existing sessions are invalidated via token version incrementing
Organizational Measures:
- Access to personal data is restricted to authorized personnel on a need-to-know basis
- Security audit logging tracks authentication events for monitoring and incident response
- Third-party processors are selected based on their security certifications and GDPR compliance (e.g., Stripe is PCI DSS Level 1 certified)
While we strive to protect your data, no method of electronic storage or transmission over the Internet is 100% secure. We encourage you to use a strong, unique password and to keep your login credentials confidential.
11. Măsuri de Securitate
Implementăm măsuri tehnice și organizatorice adecvate pentru protecția datelor dumneavoastră cu caracter personal, în conformitate cu articolul 32 din RGPD. Aceste măsuri includ, dar nu se limitează la:
Măsuri tehnice:
- Securitatea parolelor — toate parolele sunt hash-uite folosind algoritmul bcrypt cu un factor de cost de 10 înainte de stocare. Parolele în text clar nu sunt niciodată stocate sau înregistrate în jurnale
- Criptarea transportului — toate comunicațiile dintre browserul dumneavoastră și serverele noastre sunt criptate folosind HTTPS/TLS. HTTP Strict Transport Security (HSTS) este impus cu o durată maximă de 2 ani
- Token-uri de autentificare — token-urile JWT sunt stocate în cookie-uri HTTP-only (inaccesibile pentru JavaScript) cu indicatorii Secure și SameSite=Lax
- Politica de securitate a conținutului (CSP) — restricționează sursele din care pot fi încărcate scripturile, stilurile, fonturile și alte resurse, atenuând atacurile de tip cross-site scripting (XSS)
- Antete de securitate — X-Frame-Options: DENY (previne clickjacking-ul), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin
- Limitarea ratei de acces — protejează împotriva atacurilor de tip brute-force asupra punctelor de autentificare (5 solicitări/minut) și abuzului general (100 solicitări/minut)
- Politica CORS — restricționează solicitările cross-origin la domeniile explicit permise
- Validarea și sanitizarea datelor de intrare — numele fișierelor, conținutul emailurilor și datele introduse de utilizatori sunt sanitizate pentru prevenirea atacurilor de tip injecție
- Filtrarea datelor sensibile — parolele, token-urile și cheile secrete sunt eliminate automat din rapoartele de erori trimise către Sentry
- Invalidarea token-urilor — la schimbarea parolei, toate sesiunile existente sunt invalidate prin incrementarea versiunii token-ului
Măsuri organizatorice:
- Accesul la datele cu caracter personal este restricționat la personalul autorizat, pe baza principiului necesității de a cunoaște
- Jurnalizarea evenimentelor de securitate urmărește evenimentele de autentificare pentru monitorizare și răspuns la incidente
- Persoanele împuternicite terțe sunt selectate pe baza certificărilor lor de securitate și a conformității cu RGPD (de exemplu, Stripe este certificat PCI DSS Nivel 1)
Deși ne străduim să protejăm datele dumneavoastră, nicio metodă de stocare electronică sau transmisie prin Internet nu este 100% sigură. Vă încurajăm să utilizați o parolă puternică și unică și să vă păstrați credențialele de autentificare confidențiale.
12. Policy Updates
We may update this Privacy Policy from time to time to reflect changes in our data processing practices, legal requirements, or business operations. When we make changes:
- The "Last updated" date at the top of this page will be revised
- For minor changes (clarifications, typographical corrections), the updated policy will be published on this page without further notice
- For material changes that affect the scope of data processing, the legal basis, or your rights, we will notify you via email at the address associated with your account at least 30 days before the changes take effect
- Where required by law, we will obtain your renewed consent before applying material changes to the processing of your personal data
Your continued use of the Service after the updated Privacy Policy becomes effective constitutes your acknowledgment of the changes. If you do not agree with the updated policy, you may request account deletion by contacting us.
We recommend reviewing this page periodically to stay informed about how we protect your data.
12. Actualizarea Politicii
Este posibil să actualizăm periodic prezenta Politică de Confidențialitate pentru a reflecta modificările în practicile noastre de prelucrare a datelor, cerințele legale sau operațiunile de afaceri. Atunci când facem modificări:
- Data „Ultima actualizare" din partea de sus a acestei pagini va fi revizuită
- Pentru modificări minore (clarificări, corecturi tipografice), politica actualizată va fi publicată pe această pagină fără o notificare suplimentară
- Pentru modificări substanțiale care afectează domeniul de aplicare al prelucrării datelor, temeiul juridic sau drepturile dumneavoastră, vă vom notifica prin email la adresa asociată contului dumneavoastră cu cel puțin 30 de zile înainte de intrarea în vigoare a modificărilor
- Acolo unde legislația impune, vom obține consimțământul dumneavoastră reînnoit înainte de aplicarea modificărilor substanțiale ale prelucrării datelor cu caracter personal
Continuarea utilizării Serviciului după intrarea în vigoare a Politicii de Confidențialitate actualizate constituie luarea la cunoștință a modificărilor. Dacă nu sunteți de acord cu politica actualizată, puteți solicita ștergerea contului contactându-ne.
Vă recomandăm să consultați periodic această pagină pentru a fi la curent cu modul în care vă protejăm datele.
13. Contact Information
If you have any questions, concerns, or requests regarding this Privacy Policy or the processing of your personal data, please contact us:
BALANCER DAEMON S.R.L.
CUI: 44301390
Nr. Reg. Comerț: J2021000307076
Registered address: Str. Albert Einstein, Nr. 23, Ap. 2, Mun. Cluj-Napoca, Jud. Cluj, România
Email: [email protected]
Phone: +40752911022
Data Protection Officer: Cosmin Nechifor — [email protected]
For exercising your data subject rights, please direct your request to [email protected] or [email protected]. We will confirm receipt of your request within 3 business days and provide a substantive response within one month, as required by Article 12(3) of the GDPR.
See also: Terms & Conditions · Cookie Policy
13. Informații de Contact
Dacă aveți întrebări, nelămuriri sau solicitări cu privire la prezenta Politică de Confidențialitate sau la prelucrarea datelor dumneavoastră cu caracter personal, vă rugăm să ne contactați:
BALANCER DAEMON S.R.L.
CUI: 44301390
Nr. Reg. Comerț: J2021000307076
Sediul social: Str. Albert Einstein, Nr. 23, Ap. 2, Mun. Cluj-Napoca, Jud. Cluj, România
Email: [email protected]
Telefon: +40752911022
Responsabil cu Protecția Datelor: Cosmin Nechifor — [email protected]
Pentru exercitarea drepturilor dumneavoastră ca persoană vizată, vă rugăm să adresați solicitarea la [email protected] sau [email protected]. Vom confirma primirea solicitării în termen de 3 zile lucrătoare și vom oferi un răspuns de fond în termen de o lună, conform articolului 12 alineatul (3) din RGPD.
A se vedea și: Termeni și Condiții · Politica privind Cookie-urile